Vi er vant til å tenke på å sikre programvare-som-en-tjeneste-plattformer (SaaS) og skyen som to separate beist. Denne separasjonen stammer fra måten SaaS og den offentlige skyen først dukket opp som henholdsvis småpunktløsninger og en utvidelse av det tradisjonelle datasenteret. I dag, på grunn av bruken av lav kode, er denne separasjonen feil, og den holder oss tilbake fra å se hva som er rett foran øynene våre. Lav kode gjør SaaS-plattformer til en del av den offentlige skyen, et sted hvor utviklere bygger flere applikasjoner i stedet for å konsumere en enkelt: en skyplattform.
Å unnlate å endre tankesettet vårt fører til dit vi er i dag, med disse applikasjonene som blir overlatt til grep uten sikkerhetssynlighet. Og for å gjøre vondt verre, er lavkode-applikasjoner innebygd rett inn i plattformer som Salesforce og Microsoft Dynamics, som vi alle bruker og som inneholder våre mest sensitive forretningsdata.
Hvordan kom vi hit?
Opprinnelseshistorier er alltid interessante fordi de forklarer noe grunnleggende om måten vi oppfatter historiens helt. Mens SaaS startet som en forlengelse av bedriftsnettverket, startet den offentlige skyen som en forlengelse av datasenteret. Disse svært forskjellige utgangspunktene forklarer hvorfor sikring av SaaS startet med skygge-IT (beskyttelse av omkretsen) og sikring av den offentlige skyen startet med beskyttelse av arbeidsbelastning (løft-og-skift-servere og deres nettverk/vertsagenter). Dette betydde også at ulike sikkerhetsteam fikk i oppgave å sikre SaaS og skyen, noe som selvfølgelig førte til en separasjon av verktøy, ulik trusselmodellering og, viktigst av alt, dannelsen av ulike sikkerhetstankesett.
Både SaaS og den offentlige skyen har utviklet seg drastisk fra de første dagene. Offentlige skyleverandører introduserte stadig mer detaljerte databehandlingsparadigmer, og introduserte gradvis infrastruktur som en tjeneste (IaaS), plattform som en tjeneste (PaaS) og serverløs for å hjelpe utviklere med å fokusere på forretningsproblemet. De bygde også et helt økosystem av ferdige løsninger for komplekse, men vanlige problemer – identitet, tillatelser, logging, konfigurasjon og distribusjon, for å nevne noen.
SaaS pleide å bety en punktløsning for et spesifikt problem. Salesforce startet som et CRM, ServiceNow som et billettsystem og Office365 som e-post, regneark, dokumenter og lysbilder. (Selv om dette er mer enn én løsning, er disse veldig spesifikke.) Sammenlign det med i dag: Salesforce-utviklere bygger apper for omtrent alle forretningsbehov på toppen av Salesforce-plattformen er ServiceNow lavkode-apper håndtere omtrent hva som helst fra HR til helse- og økonomiprosesser, og Power Platform, Microsofts lavkodeplattform innebygd i Office365, brukes av mer enn 20 million brukere på tvers av bransjen for å løse alle forretningsbehov, fra produktivitet gjennom anskaffelser og covid-relaterte prosesser.
Det er klart at disse har blitt applikasjonsutviklingsplattformer i bedriftsklasse, ikke punktløsninger på spesifikke forretningsproblemer. Mange utviklere velger i dag å bygge applikasjonene sine på plattformleverte abstraksjoner, enten det er serverløse funksjoner på den offentlige skyen eller utvidbare byggeklosser på SaaS-lavkodeplattformer.
Introduksjonen av forretningsutviklere
Å sammenligne hvordan SaaS-plattformene startet og hvor de er nå viser tydelig hvor langt disse har kommet fra sine tidligere versjoner. Men det er fortsatt et stort skifte vi ikke har nevnt ennå: introduksjonen av forretningsutviklere.
SaaS-plattformer med lav kode henter kraften sin fra dataene de vedlikeholder og deres eksisterende brukere. De er begge ikke begrenset til IT, men snarere skjevt mot virksomheten. Å ha tilgang til både forretningsdata og forretningsbrukere betyr at SaaS er i den perfekte posisjonen til å takle det mest presserende problemet mange bedrifter står overfor i dag – digital transformasjon.
Med en global mangel på utviklere og vanskeligheten med å strømlinjeforme en forretningsprosess med så mange interessenter, introduserer plattformer med lav kode en snarvei som lar bedriftsbrukerne strømlinjeforme prosessene sine selv uten å vente på IT.
Lav kode tar av med bedriftsbrukere, så mye at i hans Inspire keynote i 2019, Microsoft-sjef Satya Nadella diskuterte muligheten av lav kode for å styrke folk og for å skape nye funksjonærjobber akkurat som Excel gjorde.
Akkurat som den offentlige skyen er en applikasjonsutviklingsplattform som gjør det mulig for utviklere å fokusere på forretningslogikken sin, har SaaS-plattformer blitt applikasjonsutviklingsplattformer som bruker lav kode for å gi bedriftsbrukere mulighet til å bli utviklere og dekke ethvert forretningsbehov.
SaaS er nå fokusert på nye typer utviklere som dekker en hel rekke uoppfylte forretningsbehov med dedikerte applikasjoner, og skaper en ny type sky: forretningsskyen.
Sikring av lav kode som en utvidelse av skyen
Med erkjennelsen av at noen SaaS-plattformer nå er applikasjonsutviklingsplattformer og en utvidelse av skyen, bør vi revurdere ansvar for å sikre disse applikasjonene og bringe dem inn under sikkerhetsteamets paraply.
Vi bør behandle plattformer som Salesforce, ServiceNow og Office365 på samme måte som vi behandler AWS, Azure og GCP, der vi fokuserer på applikasjonene som ble bygget og vert i disse applikasjonsutviklingsplattformene i stedet for å behandle hele plattformen som en enkelt applikasjon .
Shadow IT, for eksempel, er fortsatt et problem med mindre og et stadig økende antall punktløsninger SaaS. Men det gir ikke mening å behandle en enkelt plattform nevnt ovenfor som en enkelt app å oppdage og katalogisere. I stedet bør vi oppdage og katalogisere applikasjonene som er bygget med disse plattformene – og det er titusenvis av dem. I de fleste organisasjoner er denne enorme kompleksiteten skjult bak en enkelt linje i en applikasjonsbeholdning.
Applikasjoner bygget med SaaS lavkode-plattformer bør være undersøkt med den samme sikkerhetsstrengen som vi bruker for de som er bygget på skyen fordi, på slutten av dagen, er en applikasjon en applikasjon, uansett hvor den ble bygget og vert.
Det som betyr noe for sikkerheten til forretningsapplikasjonene våre er menneskene, prosessen og verktøyene som er involvert i å lage, vedlikeholde og beskytte disse applikasjonene. For applikasjoner bygget i skyen har vi profesjonelle utviklere, automatiserte CI/CD-prosesser, og ulike sikkerhetsverktøy fra kodeskanning og dynamisk analyse gjennom kjøretidsovervåking og forebygging. For applikasjoner bygget på SaaS-lavkodeplattformer har vi noen profesjonelle utviklere, men også forretningsbrukere som er det ikke sikkerhetskunnskapmed få eller ingen distribusjonsprosesser og ingen sikkerhetskontroller eller garantier.
Å tenke på lavkodeplattformer som en del av SaaS gjør det vanskelig for oss å se at en stort del av våre forretningsapplikasjoner bygges nå av virksomheten, utenfor IT og utenfor sikkerhetskontrollen. For å begynne å se problemet og finne ut vår tilnærming til det, må vi endre tankesettet vårt til å anerkjenne lavkodeplattformer som en del av skyen og behandle applikasjonene på disse plattformene som vi gjør alle andre applikasjoner.
